JP2009517910A - Pufsを使用した物理的な共有秘密及び周辺の証明 - Google Patents

Pufsを使用した物理的な共有秘密及び周辺の証明 Download PDF

Info

Publication number
JP2009517910A
JP2009517910A JP2008541896A JP2008541896A JP2009517910A JP 2009517910 A JP2009517910 A JP 2009517910A JP 2008541896 A JP2008541896 A JP 2008541896A JP 2008541896 A JP2008541896 A JP 2008541896A JP 2009517910 A JP2009517910 A JP 2009517910A
Authority
JP
Japan
Prior art keywords
response
challenge
physical
token
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008541896A
Other languages
English (en)
Other versions
JP2009517910A5 (ja
Inventor
スコリック,ボリス
アー エム エル ブリューケルス,アルフォンス
テー タイルス,ピム
ヘー オフェイ,ウィレム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2009517910A publication Critical patent/JP2009517910A/ja
Publication of JP2009517910A5 publication Critical patent/JP2009517910A5/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Professional, Industrial, Or Sporting Protective Garments (AREA)
  • Diaphragms For Electromechanical Transducers (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)

Abstract

本発明は、チャレンジ−応答ペアを形成する方法、複数の物理的なトークンを認証する方法、チャレンジ−応答ペアを形成するシステム、及び複数の物理的なトークンを認証する装置に関する。本発明の基本的な考えは、ある系列において、複数のクローン化不可能な機能(PUF)のような複数の物理的なトークン101,102,103を相互接続し、系列にチャレンジQを提供し、系列におけるその後のPUFに対するチャレンジとしてPUFの応答を使用する。系列において最後のPUFに到達し、応答Rを生成したとき、チャレンジ−応答ペアCRPが形成され、このペアは、PUFの系列に提供されるチャレンジ及び最後のPUFにより生成される応答を含む、少なくともこのCRPのチャレンジが記憶される。

Description

本発明は、チャレンジ−応答のペアを形成する方法、複数の物理的なトークンを認証する方法、チャレンジ−応答ペアを形成するシステム、複数の物理的なトークンを認証する装置に関する。
PUF(Physical Uncloneable Function)は、パーティが共有秘密を確立する耐タンパー性のある環境を形成するために使用される構造である。PUFは、入力(チャレンジ)が提供される物理的なトークンである。チャレンジがPUFに提供されたとき、チャレンジは、応答と呼ばれるランダムなアナログ出力を生成する。その複雑さ及び対応する物理的法則のため、トークンは、クローン化できない(uncloneable)、すなわち物理的に複製及び/又は計算上モデル化することが実施不可能であると考えられる。PUFは、物理的にランダムなファンクションであると呼ばれる。PUFは、制御機能と結合された場合に大幅に強化される。実際、PUFから分離不可能なPUF及びアルゴリズムは、耐タンパー性のあるチップに含まれる。PUFは、アルゴリズムを介してのみアクセスされ、アルゴリズムをバイパス又は操作する試みは、PUFを破壊する。アルゴリズムは、ハードウェア、ソフトウェア又はその組み合わせで実現され、PUFの入力及び出力を支配する。たとえば、PUFの頻繁なチャレンジが禁止され、所定のチャレンジのクラスが禁止され、PUFの物理的な出力は隠され、暗号化により保護されたデータのみが明らかにされる。かかる手段は、アタッカがPUFを自由にチャレンジすることができず、応答に割り込むことができないので、セキュリティを大幅に強化する。このタイプのPUFは、制御PUF(CPUF)と呼ばれる。
PUFの例は、ランダムな位置で光スキャッタを含む3D光媒体である。入力、すなわちチャレンジは、たとえばPUFを照明するレーザビームの入射角であり、出力、すなわち応答は、斑紋型である。登録段階では、チャレンジがPUFに提供され、このPUFは、固有であってチャレンジに対する予測不可能な応答を生成する。チャレンジ及び対応する応答は、その後の認証が着手される証明者で記憶される場合がある。登録データが暗号化、ハッシュ又は他の適切なやり方で暗号化により保護された場合、原理的に世界の何れかの場所に記憶することができる。たとえば、登録データは、PUFそれ自身に関連して記憶される場合がある。これにより、登録者は、データベースを保持する義務から解放される。典型的に、認証段階では、認証者は、登録段階で記憶されたチャレンジを証明パーティに提供する。証明パーティが、登録段階で記憶された応答に一致する、チャレンジに対する応答をリターンすることができる場合、証明パーティは、共有秘密へのアクセスが証明されたと考えられ、したがって認証者により認証される。登録段階及び認証段階の両者は、共有秘密、すなわち応答を明らかにすることなしに行われ、暗号化によりセキュアなチャネルをセットアップすることを典型的に含む。
PUFは、たとえばそれ自身を認証するためにユーザにより利用されるトークンで実現され、したがって所定のデータ、サービス又は装置へのアクセスを取得する。トークンは、たとえば、無線周波信号により、アクセスされるべき装置との(USBのような)有線インタフェースを介して、通信するスマートカードを有する場合がある。
当該技術分野で知られている所タイプの数学的な秘密共有スキームでは、異なるセットの情報は、多数(N)の人々に与えられる。ジグソーパズルにおいて互いにフィットするピースのように、これらの情報のセットは、秘密を現すように結合される。一般に、Nよりも少ない人々がそれらの情報セットを結合する場合、k個のピース(k<N)を結合するために十分である場合にバリエーションが存在するとしても、秘密に関して何ら学習しない。既存の秘密共有スキームにおける本質的な特徴は、所定の数の異なる情報セットが結合されている証明が提供されることである。これは、十分な数の許可された参加者が、たとえば安全をオープンにすることに同意している証明書としての役割を果たす。従来の秘密共有スキームの例は、多項式を使用する。秘密は、2次元平面におけるy軸座標、すなわちk−1次の秘密多項式がy軸と交差する座標を含む。それぞれの参加者は、異なる多項式の座標を受ける。k人の人々がそれらのデータを結合する場合、多項式を再構築し、秘密の多項式がy軸と交差する座標を計算する。
ある状況では、情報セットが結合されていることを証明するだけでなく、情報セットの物理的なキャリアが同じ平面に配置される(配置されている)ことを証明することが望ましい。かかる「物理的な」証明書は、たとえば、人々のグループが同じ時間に同じ部屋に互いに存在していることを証明する。従来技術の秘密共有スキームでは、証明書が基づいている情報セットがコピーされ、任意の距離を通して高速で伝達されるので、係る証明書は、信頼することができない。
本発明の目的は、上述された問題を解決することにあり、人々のグループ又は装置が実際に物理的に集合された物理的な証明を提供するのを可能にすることにある。
上記目的は、請求項1記載のチャレンジ−応答ペアを形成する方法、請求項14記載の複数の物理的なトークンを認証する方法、請求項20記載のチャレンジ−応答ペアを形成するシステム、及び、請求項25記載の複数の物理的なトークンを認証する装置により達成される。
本発明の第一の態様によれば、本方法は、系列における複数の物理的なトークンを相互接続するステップを含み、物理的なトークンの系列は、最後の物理的なトークンが応答を生成するまで、トークンの応答が後続のトークンに対するチャレンジとして通過されるように配置される。さらに、本方法は、物理的なトークンの系列に供給されるチャレンジを記憶するステップを含む。
本発明の第二の態様では、本方法は、相互接続された物理的なトークンの系列に登録の間に作成されたチャレンジを供給するステップを含む。物理的なトークンの系列は、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対する応答として通過されるように配置される。さらに、本方法は、最後の物理的なトークンの応答に基づく情報を受信するステップ、最後の物理的なトークンの応答に基づく情報を登録の間に作成された前記チャレンジに対応する応答に基づく情報と比較するステップを含む。系列に含まれる物理的なトークンは、最後の物理的なトークンの応答に基づく情報と登録の間に形成される応答に基づく情報との間に対応関係がある場合に認証される。
本発明の第三の態様によれば、本システムは、系列で相互接続する複数の物理的なトークンと、物理的なトークンの系列にチャレンジを供給する登録手段とを含む。物理的なトークンの系列は、最後の物理的なトークンが応答を生成するまでトークンの応答が後続のトークンのチャレンジとして通過されるように構成され、これにより、チャレンジ−応答のペアが形成される。
本発明の第四の態様によれば、本装置は、相互接続された物理的なトークンの系列に登録の間に形成されたチャレンジを供給する手段を有する。物理的なトークンの系列は、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対する応答として通過されるように配置される。さらに、本装置は、最後の物理的なトークンの応答に基づく情報を受信するステップ、最後の物理的なトークンの応答に基づく情報を登録の間に作成された前記チャレンジに対応する応答に基づく情報と比較する手段を含む。系列に含まれる物理的なトークンは、最後の物理的なトークンの応答に基づく情報と登録の間に形成される応答に基づく情報との間に対応関係がある場合に認証される。
本発明の基本的な考えは、PUF(Plurality of Uncloneable Function)のような、系列において複数の物理的なトークンを相互接続し、系列にチャレンジを提供し、PUFの応答をその系列におけるその後のPUFに対するチャレンジとして使用することにある。系列において最後のPUFに到達し、応答を生成したとき、チャレンジ−応答ペア(CRP)が形成され、このペアは、PUFの系列に供給されるチャレンジ及び最後のPUFにより生成される応答を含む。少なくともこのCRPのチャレンジは、以下に記載されるように記憶される。したがって、たとえば3つのPUFのグループが系列で相互接続され、チャレンジが第一のPUFに供給されることが想定される。第一のPUFは、チャレンジに応答を生成し、この応答を第二のPUFに送出し、この第二のPUFは、同様なやり方で第三(最後)のPUFに供給される応答を生成する。次いで、結果的に得られるチャレンジ−応答ペア(CRP)が形成され、このペアは、第一のPUFに供給されるチャレンジ及び第三のPUFにより提供される応答を含む。したがって、PUFの物理的な出力(すなわち応答)がその後のPUFへの物理的な入力(すなわちチャレンジ)として使用されるという意味で、PUFは相互接続されるか連結される。好ましくは、チャレンジ−応答ペアは、登録段階で生じる。
チャレンジ及び対応する応答は、認証がその後に行われる認証者で記憶される。しかし、登録データが暗号化、ハッシュ又は他の適切なやり方で暗号化されて保護される場合、登録データは、何処かに仮想的に記憶される。たとえば、登録データは、PUF自身に記憶される。これにより、登録者は、CRPのデータベースを保持する義務から解放される。PUFの応答は、応答に対するアクセスを有する盗聴者が認証者をだますことができる場合があるので、一般に公的に利用可能にされない情報である。
さらに、実際の登録を行うパーティ(すなわち登録者(enroller))は、認証をその後に行うパーティ(すなわち認証者(verifier))と必ずしも同じである必要はない。たとえば、ある銀行は、あるユーザを中心的に登録し、そのユーザの認証は、典型的にローカルの銀行の支店で行われる。さらに、チャレンジ及び応答は、必ずしも互いに記憶されないが、分離されて、異なる物理的なロケーションに記憶される場合がある。
代替的に、応答は全く記憶されない。実際に、複数のCRPは、登録段階で形成され、少なくともCRPのチャレンジは、CRPが再び形成されるように記憶される。当業者により理解されるように、登録パーティ及び認証パーティが同じでない場合、セキュリティの理由で、CRPに登録者の署名を提供する必要があり、これにより、認証者は、CRPが信頼される登録者により形成されることが保証される。登録されたシーケンスにおけるPUFのうちの何れかの周辺におけるような、登録者が制御できない場所にCRPが物理的に記憶されるときに、登録者の署名が更に必要である。登録データがセキュアなロケーションに保持される場合、署名は不要である。
前もって知られていない複数のユーザのアドホックな登録が行われる場合、それぞれのユーザが彼自身/彼女自身を登録パーティに識別することが義務付けられる。これは、それぞれのユーザの秘密鍵を使用して、対応するデジタル署名を形成することで実行される。
続いて、認証段階では、登録段階で連結された物理的にクローン化できない機能が再び連結される。認証が実行されるべき認証者は、登録段階で作成及び記憶されたCRPからチャレンジを選択する。選択されたチャレンジは、第一のPUFに供給され、この第一のPUFは、応答を生成し、この応答をその後の第二のPUFへのチャレンジとして供給する。第二のPUFは、最後の第三のPUFに供給される応答を生成する。最後のPUFは、最後の応答を生成することでこのチャレンジに応答する。最後の応答が前記CRPに含まれる記憶された応答に一致する場合、認証者は、第一、第二及び第三のPUFが同じロケーションに物理的に存在すること、すなわち、これらのPUFが物理的に相互接続されていることを確信する。したがって、PUFの相互接続の証明書が供給される。なお、この例示的な実施の形態では、3つのPUFは相互接続される。明らかに、任意の数のPUFは、確立された系列で連結され、登録段階でCRPが形成される。同様に、認証段階では、同じPUFは、成功すべき確立された認証のシーケンスにおいて相互接続される必要がある。本発明は、PUFのクローン化することができない特性を有利にも利用し、これにより、PUFの特性が複製するために実施不可能であることが保証される。
本発明の実施の形態によれば、PUFは、たとえばユーザにPUFをリンクする識別子によりユーザと関連付けされる。これは、ユーザが認証者で認証されるべき複数のPUFを提供して相互接続する必要があるので有利である。これにより、ユーザは1つの単一PUFを使用して所与のチャレンジに対する応答を形成する必要がある従来技術の認証システムと比較してセキュリティを強化する。
本発明の別の実施の形態によれば、登録が行われた後、それぞれのPUFは、たとえばユーザにPUFをリンクする識別子により異なるユーザに関連付けされる。上述された相互接続の証明書から離れて、PUFは、お金を引き出すか又は個人的な(又は公衆に対して少なくともアクセス可能ではない)データへのアクセスを得るようなプライベートな目的のために使用される場合がある。これは、たとえばユーザがそれらのPUFを他のPUFと相互接続するために与えている偽の証明書を作成する目的で、それらのPUFを明らかにすることを妨げられるという利点を有する。
登録が行われた後、PUFが既にユーザに割り当てられていない場合、PUFは関連付けされるユーザにハンドオーバされる。ユーザは、認証が行われないときにPUFの連結のオーダに関して必ずしも通知される必要はない。ユーザに連結のオーダが与えられない場合、オーダそれ自身は、秘密となり、システムにおけるセキュリティを強化すると考えられる。ユーザが登録の間に利用される連結のオーダを知らない場合、実際に、多数のPUFが連結されるときのオーダを推測することは不可能である。
本発明の実施の形態では、登録が行われた後、登録者は、(たとえばランダム数又はランダムに発生されたメッセージといった)シークレットを、PUFの連結の所定のチャレンジに対する応答に基づく暗号化鍵で暗号化する。したがって、暗号化されたデータセットER(m)が形成され、ER(m)は、応答Rによるメッセージmの暗号化を示す。登録者(又は認証者)は、チャレンジ及び暗号化されたシークレット(及びオーダがユーザに既に知られていない場合に連結のオーダ)と共にPUFをユーザに分配する。正しい応答が分配されたチャレンジに対して作成される、すなわち登録の間に使用された連結のオーダが認証の間に使用される必要があるように、PUFが連結される場合に、ユーザは暗号化によりプロテクトされたシークレットを解読することができる。なお、シークレットを暗号化するために利用される鍵は、多数の異なるやり方で作成される。たとえば、登録者は、PUFのオーダリングが一定である間、PUFの系列を複数のチャレンジでチャレンジし、結果的に得られる応答から解読鍵を導出する。認証段階では、PUFには、暗号化されたシークレットを解読する鍵を再作成するため、複数のチャレンジが提供される。
別の実施の形態では、複数の異なるPUF連結が登録され、それぞれのPUFは、個別のチャレンジ及びチャレンジに対する個別の固有の応答をもつ。登録者は、応答から導出された暗号化鍵でシークレットを暗号化する。ユーザは、それらのPUF、チャレンジ及び対応する連結のオーダを受信する。シークレットのプレインテキストコピーを形成するため、登録の間と同じPUFの連結を形成し、それぞれのPUFの連結をチャレンジし、正しい応答を取得する。解読鍵が導出されるようにそれらの応答を結合することで、シークレットを解読することができる。
更に別の実施の形態では、シークレットの暗号化は、数学的な秘密共有を含む。
本発明の更なる実施の形態では、チャレンジは、物理的に相互接続されたPUFの系列で初めに位置されるPUFに提供され、第一のPUFの応答は、チェインにおける最後PUFが応答を生成するまで、上述されたように、チェインにおける第二のPUFへのチャレンジとして提供される。第一のPUFに提供されるチャレンジ及び最後のPUFにより生成される応答は、チャレンジ−応答ペアを構成する。チャレンジ−応答ペアを含むチャレンジ−応答データセット、チャレンジ−応答ペアを形成するために使用されるそれぞれのPUFの識別子及びPUFの連結のオーダが形成される。先に説明されたように、チャレンジに対する応答は、必ずしも記憶される必要はない。そのケースでは、応答はデータセットに含まれない。このチャレンジ−応答データセットは、登録パーティにより署名される。好ましくは、PUFが属するユーザは、(おそらく特定の目的の特定の状況下で)ユーザが収集されたことのステートメントを準備し、このステートメントをチャレンジ−応答のデータセットに添付する。次いで、それぞれのユーザは、彼/彼女の秘密鍵を使用して、チャレンジ−応答データセットを含む、完全なステートメントに署名する。ここで、デジタル署名されたチャレンジ−応答データセットが記憶され、これらのユーザがステートメントに同意しただけでなく、(時間的にある瞬間に)実際に物理的に一緒にいることの証明としての役割を果たす。後に、たとえば裁判所において、誰かが証明書の有効性を問題にする場合、ユーザは会合することができ、裁判所は、彼らがチャレンジ−応答データセットのチャレンジに対する応答を発生することができることを証明する。この特定の実施の形態は、PUFの登録が行われる環境で必ずしも実現されない。好都合なことに、予期しないPUFの組み合わせのアドホックな証明書を生成するために利用される。しかしながら、この実施の形態は、上述されたように、複数のPUFを登録するときに、有利なことに利用される。
なお、認証段階で利用されるべきオーダは前もって知られていない場合に、PUFが登録段階で連結されるオーダを記憶することが必要であることが理解される。さもなければ、ユーザは、どのようなオーダでそれらのPUFを連結し、所与のチャレンジに対する有効な応答を生成するかを知らない。
本発明の更なる特徴、利点は、特許請求の範囲及び以下の説明を調べたときに明らかとなるであろう。当業者であれば、本発明の異なる特徴が結合され、以下に記載される以外に実施の形態が形成されることを認識される。
本発明の好適な実施の形態の詳細な説明は、添付図面を参照して以下に与えられる。
図1は、本発明の実施の形態に係る登録パーティでの複数のPUF101,102及び103の登録(enrolement)を示す。PUFは、PUF101,102の物理的な出力が、系列におけるその後のPUF102,103への物理的な入力として使用される順序で接続される。はじめに、登録局は、順序において最初に位置されるPUF101にチャレンジCを供給する。このチャレンジは、どのタイプのPUFが使用されるかに依存して、多数の異なるやり方で実施される場合がある。
たとえば、制御されるPUF(CPUF)が利用され、このCPUFは、制御機能と結合されるPUFを有する。典型的にPUF及び、PUFから分離不可能なアルゴリズムは、耐タンパー性のあるチップに含まれる。PUFは、アルゴリズムを介してのみアクセスされ、アルゴリズムをバイパス又は操作する如何なる試みはPUFを破壊する。一般に、チップは、計算手段105及び記憶手段106を有し、これらの手段は、アルゴリズムを実行し、アルゴリズムを実現するソフトウェアを記憶する。典型的に、登録パーティ104もまた、計算手段107及び記憶手段108を有する。使用されるPUFは、たとえば3次元の光媒体であり、ランダムな位置で光スキャッタを含む。PUFへの入力(すなわちチャレンジ)は、たとえば、チップに含まれるレーザダイオードから生じるレーザビームであり、出力(すなわち応答)は、チップに配置される光検出素子により検出される斑紋型である。チップは、チャレンジが供給される入力、応答が供給される出力とで構成される。チャレンジは、典型的に、たとえばルミナンスといったレーザダイオードの動作パラメータにCPUFにおいて変換されるデジタルデータの形式でCPUFに供給され、これにより、適切なチャレンジがPUFに供給される。結果的に得られる斑紋型、すなわち応答が検出されたとき、この応答は、デジタルデータに変換され、このデジタルデータは、その出力を介してCPUFから出力される。
第一のPUF101に供給されるチャレンジCは、登録パーティ104により分散されるデジタルビットストリームの形式で典型的に実施され、このビットストリームは、レーザダイオードの動作パラメータにチップの処理手段により変換される。ビットストリームは、たとえばレーザダイオードの波長を制御し、異なるビットストリームは、PUFに供給される異なるチャレンジとなる。第一のPUF101は、チャレンジCに対する応答R’を生成し、この応答を第二のPUF102に送出し、この第二のPUFは、同様のやり方で、第三の、最後のPUF104に供給される応答R’’を生成する。C及びRを含むチャレンジ−応答ペア(CRP)が形成され、PUFは、登録パーティ104で登録される。
図2は、本発明の実施の形態に係るマイクロプロセッサを有する認証パーティ204での複数の登録されたPUF201,202,203の認証を示す図である。PUFは、登録の前又は後の何れかで、それぞれのユーザ205,206,207と関連付けされる。先に記載されたように登録パーティと必ずしも同じである必要がないが、認証パーティ204で認証が実行されたとき、PUFは、それらが登録された順序で連結される。登録者及び認証者が同じパーティではない場合、(セキュリティの理由のため)登録段階における登録者のデジタル署名をCRPに供給することが必要である。デジタル署名が利用される場合、認証者は、登録者の公開鍵を使用して、CRPが正しく署名されたことをチェックする。チェレンジCは、第一のPUF201に供給され、この第一のPUFは、応答R’を生成し、この応答を第二のPUF202に対するチャレンジとして供給する。
なお、チャレンジCが第一のPUF201に供給されるやり方は、チャレンジが記憶される場所に依存する。チャレンジがPUF201,202,203のうちの何れか1つに記憶される場合、そのシナリオが可能であるとしても、認証者204にとってチャレンジを供給することは必要ではない。
第二のPUFは、応答R’を生成し、この応答は、第三の、最後のPUF203に供給される。最後のPUFは、最後の応答R’’を生成することでこのチャレンジに応答する。最後の応答が登録されたCRPの応答に整合する場合、認証者は、第一、第二及び第三のPUFは同じロケーションに物理的に存在すること、すなわちこれらPUFが物理的に相互接続されることを確信する。したがって、PUFの相互接続の証明が供給される。本発明の別の実施の形態では、複数のPUFは、登録の間に第一のオーダで相互接続され、CRPは、図1と共に記載されたように形成される。しかし、この実施の形態では、複数のPUFは、第二のオーダで相互接続され、(図1に示されない)更なるCRP C1,R1が形成される。図2を参照して、PUFがその後に認証されたとき、ユーザ205,206,207は、第一のオーダでそれらを相互接続し、それらに適切なチャレンジCを提供し、対応する応答Rを生成し、認証者204に応答を供給する。さらに、ユーザは、PUFをそれらが登録される第二のオーダで相互接続し、それらに対応するチャレンジC1を提供し、これに応じて応答R1を生成し、認証者にこの第二の応答を供給する必要がある。したがって、図1の登録手順及び図2の認証手順は、PUFが相互接続されるそれぞれ異なるオーダについて一度提供される。
図3では、チャレンジCがPUF301,302,303の系列に提供され、最後の応答Rが生成された後、チャレンジ−応答ペアC,R、チャレンジ−応答ペアを形成するために利用されるそれぞれのPUFの識別子、及びPUFの連結のオーダを含むチャレンジ−応答データセットが形成される。PUFが属するユーザ305,306,307は、それぞれ、ユーザが収集されているステートメント308,309,310を用意し、このステートメントをチャレンジ−応答データセットに添付する。次いで、それぞれのユーザは、彼又は彼女の秘密鍵を使用してチャレンジ−応答データセットを含めて、完全なステートメントに署名する。デジタル署名されたチャレンジ−応答データセットは記憶され、これらのユーザがステートメントに同意するだけでなく、これらのユーザが調和してそれらのPUFを連結している、認証者304(又は他のパーティ)への証明としての役割を果たす。上述されたように、この特定の実施の形態は、PUFの登録が行われる環境で必ずしも実現されない。
PUFが登録及び認証の間に物理的に相互接続される場合でさえ、登録及び認証データは、遠隔地から受信され、遠隔地に送信される。当業者により理解されるように、この受信/送信は、たとえば、幾つかの他の適切なネットワークのうちのインターネットを介してデータを送出することを含む。
さらに、誤り訂正スキームは、たとえば、雑音が除去されて、再生可能なデータが取得されるように、PUFの系列から最後の応答を訂正するために使用される。たとえば、当該技術分野で知られているヘルパーデータスキームが利用される場合がある。チャレンジ−応答ペアの導出と暗号化技術とを結合するため、ヘルパーデータは、登録段階の間に導出される場合がある。ヘルパーデータは、認証の間と同様に登録段階の間にチャレンジから固有の応答が導出されることを保証する。したがって、認証で得られたデータが、同一であることが期待される登録データに整合するように、ヘルパーデータスキームは、雑音の多い認証データの補正を可能にする点でロバスト性をもたらす。勿論、他の適切な誤り訂正スキームは、当業者により考えられる。
本発明は特定の例示的な実施の形態を参照して記載されたが、多数の異なる代替、変更等は、当業者にとって明らかとなる。記載される実施の形態は、したがって、特許請求の範囲により定義される本発明の範囲を限定することが意図されない。
本発明の実施の形態に係る登録パーティでの複数のPUFの登録を示す図である。 本発明の実施の形態に係る認証パーティでの複数の登録されたPUFの認証を示す図である。 本発明の実施の形態に係るステートメントの使用を示す図である。

Claims (26)

  1. チャレンジ−応答のペアを形成する方法であって、
    ある系列における複数の物理的なトークンを相互接続するステップと、
    前記系列の物理的なトークンにチャレンジを供給するステップと、前記系列の物理的なトークンは、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対するチャレンジとして送出されて、チャレンジ−応答ペアが形成されるように構成され、
    前記系列の物理的なトークンに供給されるチャレンジを記憶するステップと、
    を含む方法。
  2. 前記最後の物理的なトークンの応答を記憶するステップを更に含む、
    請求項1記載の方法。
  3. ユーザを少なくとも1つの相互接続された物理的なトークンと関連付けするステップを更に含む、
    請求項1記載の方法。
  4. 異なるユーザをそれぞれ相互接続された物理的なトークンと関連付けするステップを更に含む、
    請求項1記載の方法。
  5. 前記チャレンジ、それぞれの物理的なトークン、及び、前記チャレンジ−応答ペアを形成するときに前記物理的なトークンが系列において相互接続される順序を含むチャレンジデータセットを形成するステップと、
    前記チャレンジデータセットを記憶するステップと、
    を更に含む請求項1記載の方法。
  6. 前記チャレンジデータセットに前記応答を含めて、チャレンジ−応答データセットを形成するステップを更に含む、
    請求項5記載の方法。
  7. 前記チャレンジデータセットに、異なるユーザが収集された異なるユーザによるステートメントを含むステップを更に含む、
    請求項5記載の方法。
  8. ユーザをトークンの識別子とリンクさせることで前記ユーザを物理的なトークンを関連付けするステップが実行される、
    請求項3記載の方法。
  9. 登録パーティで、相互接続された物理的なトークンの系列の応答に基づく暗号化鍵でシークレットを暗号化するステップと、
    前記暗号化されたシークレット及びチャレンジを前記系列に含まれる前記物理的なトークンの少なくとも1つに分配するステップと、
    を更に含む請求項1記載の方法。
  10. 登録された物理的なトークンをそれぞれのユーザに分配するステップを更に含む、
    請求項1記載の方法。
  11. 前記複数の物理的なトークンが系列において相互接続される順序を変えるステップと、
    前記系列の物理的なトークンに更なるチャレンジを供給するステップと、前記系列における物理的なトークンは、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対するチャレンジとして送出され、
    更なるチャレンジデータセットとして、前記系列の物理的なトークンに供給される前記更なるチャレンジを記憶するステップと、
    を更に含む請求項1記載の方法。
  12. 前記チャレンジ及び前記更なるチャレンジの両者は、前記相互接続された物理的なトークンを認証するときに供給される、
    請求項11記載の方法。
  13. 前記物理的なトークンは、物理的にクローン化できない機能を含む、
    請求項1記載の方法。
  14. 複数の物理的なトークンを認証する方法であって、
    相互接続された物理的なトークンの系列に登録の間に形成されたチャレンジを供給するステップと、前記物理的なトークンの系列は、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対するチャレンジとして送出されるように構成され、
    前記最後の物理的なトークンの応答に基づく情報を受信するステップと、
    前記最後の物理的なトークンの応答に基づく前記情報を登録の間に形成された前記チャレンジに対応する応答に基づく情報と比較するステップと、
    前記系列に含まれる物理的なトークンは、前記最後の物理的なトークンの応答に基づく前記情報と登録の間に形成された応答に基づく前記情報との間に対応関係がある場合に認証される、
    ことを特徴とする方法。
  15. 前記最後の物理的なトークンの応答に基づく前記情報は、前記応答それ自身であり、前記比較するステップにおいて、前記最後の物理的なトークンの応答は、登録の間に形成された前記チャレンジに対応する応答と比較され、
    前記系列に含まれる物理的なトークンは、前記最後の物理的なトークンの応答と登録の間に作成された応答との間に対応関係がある場合に認証される、
    請求項14記載の方法。
  16. 前記系列は、登録の間に形成された前記挑戦に対応する応答で暗号化されたシークレットが供給され、前記最後の物理的なトークンの応答に基づく前記情報は、前記暗号化されたシークレットを前記最後の物理的なトークンの応答で解読することで得られるシークレットを含み、
    前記比較するステップで、前記シークレットは、登録の間に形成される前記チャレンジに対応するシークレットと比較され、前記系列に含まれる前記物理的なトークンは、2つのシークレット間に対応関係がある場合に認証される、
    請求項14記載の方法。
  17. 供給されるチャレンジと関連付けされる物理的なトークンが相互接続される順序を提供するステップを更に含む、
    請求項14記載の方法。
  18. チャレンジが信頼される登録パーティにより署名されているかを確かめるステップを更に含む、
    請求項14記載の方法。
  19. 前記物理的なリンクと関連付けされたユーザが集められたかを示すステートメントを受信するステップと、
    前記ステートメントの署名をチェックするステップと、
    を更に含む請求項14記載の方法。
  20. チャレンジ−応答ペアを形成するシステムであって、
    当該システムは、
    系列において相互接続する複数の物理的なトークンと、
    前記系列の物理的なトークンにチャレンジを供給する登録手段とを有し、
    前記系列の物理的なトークンは、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対するチャレンジとして通過され、チャレンジ−応答ペアが形成されるように構成される、
    ことを特徴とするシステム。
  21. 前記系列の物理的なトークンに供給されるチャレンジを記憶する手段が前記物理的なトークンのうちの少なくとも1つに設けられる、
    請求項20記載のシステム。
  22. 前記登録手段は、前記系列の物理的なトークンに供給されるチャレンジを記憶する手段が設けられる、
    請求項20記載のシステム。
  23. 前記登録手段は、相互接続された物理的なトークンの系列の応答に基づく暗号化鍵でシークレットを暗号化し、暗号化されたシークレット及び前記チャレンジを前記系列に含まれる前記物理的なトークンのうちの少なくとも1つに分配する手段を更に有する、
    請求項20記載のシステム。
  24. 前記物理的なトークンは、物理的にクローン化できない機能を含む、
    請求項20記載のシステム。
  25. 複数の物理的なトークンを認証する装置であって、
    相互接続された物理的なトークンの系列に登録の間に形成されたチャレンジを供給する手段と、前記系列の物理的なトークンは、最後の物理的なトークンが応答を生成するまで、あるトークンの応答が後続するトークンに対するチャレンジとして送出され、
    前記最後の物理的なトークンの応答に基づく情報を受信する手段と、
    前記最後の物理的なトークンの応答に基づく前記情報を登録の間に形成された前記チャレンジに対応する応答に基づく情報と比較する手段とを有し、
    前記系列に含まれる物理的なトークンは、前記最後の物理的なトークンの応答に基づく前記情報と登録の間に形成された応答に基づく前記情報との間に対応関係がある場合に認証される、
    ことを特徴とする装置。
  26. コンピュータ実行可能なコンポーネントが装置に含まれる処理ユニットで実行されるとき、前記装置に請求項14記載のステップを実行させる前記コンピュータ実行可能なコンポーネントを含むコンピュータプログラムプロダクト。
JP2008541896A 2005-11-29 2006-11-27 Pufsを使用した物理的な共有秘密及び周辺の証明 Withdrawn JP2009517910A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP05111419 2005-11-29
PCT/IB2006/054442 WO2007063473A1 (en) 2005-11-29 2006-11-27 Physical secret sharing and proofs of vicinity using pufs

Publications (2)

Publication Number Publication Date
JP2009517910A true JP2009517910A (ja) 2009-04-30
JP2009517910A5 JP2009517910A5 (ja) 2010-01-21

Family

ID=37946271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008541896A Withdrawn JP2009517910A (ja) 2005-11-29 2006-11-27 Pufsを使用した物理的な共有秘密及び周辺の証明

Country Status (7)

Country Link
US (1) US20090217045A1 (ja)
EP (1) EP1958373B1 (ja)
JP (1) JP2009517910A (ja)
CN (1) CN101317360A (ja)
AT (1) ATE426968T1 (ja)
DE (1) DE602006005957D1 (ja)
WO (1) WO2007063473A1 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011155011A1 (ja) * 2010-06-07 2011-12-15 三菱電機株式会社 信号処理システム
WO2012001796A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 個体別情報生成装置及び個体別情報生成方法
JP2012509039A (ja) * 2008-11-17 2012-04-12 イントリンシツク・イー・デー・ベー・ベー 分散puf
KR101419745B1 (ko) 2012-08-07 2014-07-17 한국전자통신연구원 물리적 복제 방지 기능을 기반으로 하는 인증 요청 장치, 인증 처리 장치 및 인증 수행 방법
JP2017501652A (ja) * 2013-11-10 2017-01-12 サイプリス エレクトロニクス リミテッド ライアビリティ カンパニー 認証可能デバイス
KR20170040294A (ko) 2014-08-29 2017-04-12 내셔날 인스티튜트 오브 어드밴스드 인더스트리얼 사이언스 앤드 테크놀로지 디바이스 고유 정보의 에러율 제어 방법과 디바이스 고유 정보의 에러율 제어 프로그램
US10382962B2 (en) 2014-05-22 2019-08-13 Analog Devices, Inc. Network authentication system with dynamic key generation
KR20220058106A (ko) * 2020-10-30 2022-05-09 이화여자대학교 산학협력단 물리적 복제 방지 기술을 이용한 인증 장치

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006071380A2 (en) 2004-11-12 2006-07-06 Pufco, Inc. Securely field configurable device
ATE504884T1 (de) 2006-01-24 2011-04-15 Verayo Inc Signalgeneratorbasierte vorrichtungssicherheit
WO2009024913A2 (en) * 2007-08-22 2009-02-26 Intrinsic Id Bv Identification of devices using physically unclonable functions
CN101542496B (zh) 2007-09-19 2012-09-05 美国威诚股份有限公司 利用物理不可克隆功能的身份验证
US10374812B2 (en) * 2008-06-27 2019-08-06 Koninklijke Philips Electronics N.V. Device, system and method for verifying the authenticity integrity and/or physical condition of an item
US8700916B2 (en) * 2011-12-02 2014-04-15 Cisco Technology, Inc. Utilizing physically unclonable functions to derive device specific keying material for protection of information
KR101576408B1 (ko) * 2011-12-22 2015-12-09 미쓰비시덴키 가부시키가이샤 디바이스 고유 정보 생성 장치 및 디바이스 고유 정보 생성 방법
EP2615571A1 (en) * 2012-01-16 2013-07-17 Gemalto SA Method of generating an identifier of an electronic device
KR101332517B1 (ko) * 2012-08-21 2013-11-22 한양대학교 산학협력단 인증 정보 처리 장치 및 방법
US9038133B2 (en) 2012-12-07 2015-05-19 International Business Machines Corporation Self-authenticating of chip based on intrinsic features
US9847984B2 (en) 2013-03-24 2017-12-19 Cisco Technology, Inc. System for efficient generation and distribution of challenge-response pairs
US9787480B2 (en) * 2013-08-23 2017-10-10 Qualcomm Incorporated Applying circuit delay-based physically unclonable functions (PUFs) for masking operation of memory-based PUFs to resist invasive and clone attacks
KR101521807B1 (ko) * 2014-01-20 2015-05-20 한국전자통신연구원 데이터 전송 제어 장치 및 그 방법
DE102014208210A1 (de) * 2014-04-30 2015-11-19 Siemens Aktiengesellschaft Ableiten eines gerätespezifischen Wertes
US10805093B2 (en) * 2014-10-13 2020-10-13 Intrinsic-Id B.V. Cryptographic device comprising a physical unclonable function
US9646178B2 (en) * 2014-10-15 2017-05-09 Empire Technology Development Llc Secure data storage based on physically unclonable functions
DE102014226414A1 (de) 2014-12-18 2016-06-23 Robert Bosch Gmbh Verfahren zur Überprüfung der Integrität eines Netzwerkes
US20170132434A1 (en) * 2015-11-06 2017-05-11 Mentor Graphics Corporation Measure variation tolerant physical unclonable function device
US10050796B2 (en) * 2016-11-09 2018-08-14 Arizona Board Of Regents On Behalf Of Northern Arizona University Encoding ternary data for PUF environments
WO2018145755A1 (en) * 2017-02-10 2018-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Methods of verifying that a first device and a second device are physically interconnected
US10740445B2 (en) * 2017-07-18 2020-08-11 International Business Machines Corporation Cognitive behavioral security controls
US10868669B2 (en) * 2017-10-16 2020-12-15 Taiwan Semiconductor Manufacturing Company Ltd. Method for role-based data transmission using physically unclonable function (PUF)-based keys
US10521616B2 (en) 2017-11-08 2019-12-31 Analog Devices, Inc. Remote re-enrollment of physical unclonable functions
CN108055122B (zh) * 2017-11-17 2021-03-23 西安电子科技大学 可验证的防内存泄露动态可搜索加密方法、云服务器
US11050574B2 (en) 2017-11-29 2021-06-29 Taiwan Semiconductor Manufacturing Company, Ltd. Authentication based on physically unclonable functions
US10892903B2 (en) * 2018-05-29 2021-01-12 Ememory Technology Inc. Communication system capable of preserving a chip-to-chip integrity
CN111756541A (zh) * 2019-03-26 2020-10-09 北京普安信科技有限公司 一种传送密钥的方法、服务器、终端及系统
KR20210095460A (ko) 2020-01-23 2021-08-02 삼성전자주식회사 시도-응답 방식을 이용하여 인증을 수행하는 집적 회로 및 이를 사용하는 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
US20050100166A1 (en) * 2003-11-10 2005-05-12 Parc Inc. Systems and methods for authenticating communications in a network medium

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012509039A (ja) * 2008-11-17 2012-04-12 イントリンシツク・イー・デー・ベー・ベー 分散puf
JP5335141B2 (ja) * 2010-06-07 2013-11-06 三菱電機株式会社 信号処理システム
WO2011155011A1 (ja) * 2010-06-07 2011-12-15 三菱電機株式会社 信号処理システム
US9021001B2 (en) 2010-06-30 2015-04-28 Fujitsu Limited Individual-specific information generation apparatus and individual-specific information generation method
JP5333669B2 (ja) * 2010-06-30 2013-11-06 富士通株式会社 個体別情報生成装置及び個体別情報生成方法
WO2012001796A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 個体別情報生成装置及び個体別情報生成方法
KR101419745B1 (ko) 2012-08-07 2014-07-17 한국전자통신연구원 물리적 복제 방지 기능을 기반으로 하는 인증 요청 장치, 인증 처리 장치 및 인증 수행 방법
JP2017501652A (ja) * 2013-11-10 2017-01-12 サイプリス エレクトロニクス リミテッド ライアビリティ カンパニー 認証可能デバイス
US9998445B2 (en) 2013-11-10 2018-06-12 Analog Devices, Inc. Authentication system
US10382962B2 (en) 2014-05-22 2019-08-13 Analog Devices, Inc. Network authentication system with dynamic key generation
KR20170040294A (ko) 2014-08-29 2017-04-12 내셔날 인스티튜트 오브 어드밴스드 인더스트리얼 사이언스 앤드 테크놀로지 디바이스 고유 정보의 에러율 제어 방법과 디바이스 고유 정보의 에러율 제어 프로그램
US10402248B2 (en) 2014-08-29 2019-09-03 National Institute Of Advanced Industrial Science And Technology Method for controlling error rate of device-specific information and program for controlling error rate of device-specific information
KR20220058106A (ko) * 2020-10-30 2022-05-09 이화여자대학교 산학협력단 물리적 복제 방지 기술을 이용한 인증 장치
KR102515902B1 (ko) * 2020-10-30 2023-03-31 이화여자대학교 산학협력단 물리적 복제 방지 기술을 이용한 인증 장치

Also Published As

Publication number Publication date
ATE426968T1 (de) 2009-04-15
WO2007063473A1 (en) 2007-06-07
EP1958373A1 (en) 2008-08-20
US20090217045A1 (en) 2009-08-27
EP1958373B1 (en) 2009-03-25
CN101317360A (zh) 2008-12-03
DE602006005957D1 (de) 2009-05-07

Similar Documents

Publication Publication Date Title
EP1958373B1 (en) Physical secret sharing and proofs of vicinity using pufs
EP1958374B1 (en) Proofs of vicinity using cpufs
CN106548345B (zh) 基于密钥分割实现区块链私钥保护的方法及系统
JP7448220B2 (ja) マルチポイント認証のためのキー生成・預託システム及び方法
JP7493014B2 (ja) 複数のストレージノードにわたる大きいブロックチェーンのセキュアな記憶を可能にする、コンピュータにより実現されるシステム及び方法
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
US7937584B2 (en) Method and system for key certification
KR100564677B1 (ko) 네트워크 환경에서 비밀 신규 무작위 숫자들의 운영 및 이용
EP2348446B1 (en) A computer implemented method for authenticating a user
US9384338B2 (en) Architectures for privacy protection of biometric templates
WO2007103906A2 (en) Secure data transmission using undiscoverable or black data
WO2021073953A1 (en) Digital signature generation using a cold wallet
JP2008526078A (ja) 鍵生成、及び認証の承認に関する方法及び装置
CN101296075A (zh) 一种基于椭圆曲线的身份认证系统
CN113468570A (zh) 基于智能合约的隐私数据共享方法
JP2010231404A (ja) 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム
JPWO2019077581A5 (ja)
WO2007072450A2 (en) Puf protocol with improved backward security
CN110572257B (zh) 基于身份的数据来源鉴别方法和系统
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
Sharp Applied Cryptography
JP3746919B2 (ja) 可変認証情報を用いる資格認証方法
Kumar Mutual authentication and data security in IOT using hybrid mac id and elliptical curve cryptography
Peyravian et al. Generating user-based cryptographic keys and random numbers
CN115694829A (zh) 一种基于sm2椭圆曲线的离线身份认证令牌生成方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091125

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091125

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20100521